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Die folgenden Angaben sind den vom Anmelder eingereichten Unterlagen entnommen 

Prufungsantrag gem § 44 PatG ist gestellt 

(§) System und Verfahren zur automatisierten Kontrolle des Passierens einer Grenze 

(57) System und Verfahren zur automatisierten Kontrolle 
des Passierens einer Grenze mit einer Personendatener- 
fassungseinrichtung, einer Biometriedatenerfassungs- 
einrichtung, einer Personendatenweitergabeeinrichtung. 
einer Datenspeicheremrichtung, einer Durchgangs- 
schleuse, einer Vereinzelungseinrichtung, einer Datenle- 
seeinrichtung, einer Echtheitsuberprufungseinrichtung, 
einer Datenmanipulationsuberpruftingseinrichtung, einer 
Einrichtung zum Offnen des Eingangs der Durchgangs- 
schleuse, einer Biometriedatenerfassungseinrichtung, ei- 
ner Vergleichseinrichtung, einer Alarmausloseeinrich- 
tung, einer Personendatenweitergabeeinrichtung und ei- 
ner Einrichtung zum Offnen des Ausgangs der Durch- 
gangsschleuse und ein Verfahren zur automatisierten 
Kontrolle des Passierens einer Grenze 
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Beschreibung 



Die voiliegende Erfindung betiifft ein System und ein 
Verfahren zur automatisierten Kontrolle desPassierens einer 
Grenze 5 

Grenzkontrollen z . B, an Flughafen, aber auch im Bereich 
der land- und Fahrverkehre sind fur den grenzuberschrei- 
tenden Personenverkehr zeitkritisch Gletchzeitig 1st der 
Aufwand det Kontrolibehorden - unter anderem wegen des 
Schengener Abkommens in den vergangenen Tahren liber- to 
proportional zur Anzabl der Reisenden gestiegen Die seit 
Jahren steigende Mobilitat der Me use hen und wacbsende 
Passagierzahlen im internationalen Flugverkebr fuhren zu 
neuen Anforderungen im Personenbefbrderungswesen An- 
dererseits sind die personellen und ftnanziellen Ressourcen t5 
det staatlichen Kontrolibehorden, der luftverkehrsunter- 
nehrnen und der Flugbafenbetreiber sowie die raumiichen 
Gegebenheiten auf vielen internationalen Verkebisflughafen 
zunehmend begrenzt 

Der Erftndung liegt somit die Aufgabc zugrundc, die Ge- 20 
schwindigkeit des Fassagietverkehrs zu erhohen. 

ErfindungsgemaB wird diese Aufgabe gelost durcb ein 
System zur automatisieiten Kontrolle des Passierens einei 
Grenze, mit: 

25 

- einer Einiichtung zur Eifassung von Personendaten 
von Systembenutzern, 

- einer Einiichtung zui Eifassung von biometiischen 
Daten der Systembenutzer, 

einer Eiorichtung zur Weitergabe der Personendaten 30 
der Systembenutzer an eine Fahndungsdatenbank und 
Abfrage, ob det jeweilige Systembenutzer auf einer 
Fahndungsliste stebt, 

- einer Einrichtung zum Speichem von Daten, die die 
Personendaten und biometrischen Daten des jeweiligcn 35 
Systembenutzers umfassen, auf einem fur jeden Sy- 
stembenutzer vorgesehenen Identifikationsmedium 
und gegebenenfalls identifikationsraediumspezifischer 
Daten, wenn das Ergebnis der Fahndungsabfrage nega- 
tiv ist, 40 

- einer vor einer Grenze angeordneten Durchgangs- 
schleuse zum Regulieren des Durcbgangs der System- 
benutzer mit einem Eingang und einem Ausgang, wo- 
bei der Eingang und der Ausgang in Grundstellung ver- 
schlossen sind, 45 

- einer vor dent Eingang der Durchgangsschleuse an- 
geordneten Einiichtung zur Vereinzelung der System- 
benutzer, einer hinter der Vereinzelungseinricbtung. 
aber vor dem Eingang der Durchgangsschleuse ange- 
ordneten Einiichtung zum Lesen der auf den identifika- 50 
tionsmedien gespeicherten Daten, 

- einer vor dem Eingang der Durchgangsschleuse an- 
geordneten Einiichtung zur Uberprufung der Ecbtheit 
der Identifikationsmedien, 

- einer vor dem Eingang der Durchgangsschleuse an- 55 
geordneten Einrichtung zur Uberpriifung des Vorlie- 
gens einer Manipulation der Daten auf dem jeweiligen 
Identifikationsmedium, 

- einer Einrichtung zum Offnen des Eingangs der 
Durchgangsschleuse, wenn die Echtheit des jeweiligen 60 
Identifikationsmediums und keine Manipulation der 
Daten auf dem jeweiligen Identifikationsmedium fest- 
gestellt wurden, 

- einer in der Durchgangsschleuse befindlichen Ein- 
richtung zum Erfassen von biometrischen Daten eines 65 
hineingelassenen Systembenutzers, 

- einer Einrichtung zum Vergleich der erf ai3ten biome- 
trischen Daten mit den auf dem Identifikationsmedium 



des hineingelassenen Systembenutzers gespeicherten 
biometrischen Daten, 

- einer Einrichtung zum Auslosen eines Alarmsignals, 
wenn die erfaBten und die auf dent jeweiligen Identifi- 
kationsmedium gespeicherten biometrischen Daten 
nicht ubereinstimmen, 

- einer Einrichtung zur Weitergabe der Personendaten 
an die Fahndungsdatenbank und zur Abfrage, ob der 
Systembenutzer auf einer Fahndungsliste steht, und 

- einer Einrichtung zum Offnen des Ausgangs dei 
Durchgangsschleuse und Ermoglichen eines Grenz- 
ubertritts des Systembenutzers, wenn das Ergebnis der 
Fahndungsabfrage negativ ist,. und zur Auslosung eines 
Alarmsignals, wenn das Ergebnis der Fahndungsab- 
frage positiv ist 

Weiterhin wird die Aufgabe gelost durch ein Verfahren 
zur automatisierten Kontrolle des Passierens einer Grenze, 
das die folgenden Schritte umfaJSt: 

- Erfassen von Personendaten von Systembenutzern, 

- Erfassen von biometrischen Daten der Systembenut- 
zei; 

- Weitergabe der Personendaten det Systembenutzer 
an eine Fahndungsdatenbank und Vornahme einer Ab- 
frage, ob der jeweilige Systembenutzer auf einer Fahn- 
dungsliste steht, 

- Speichem von Daten, die die Personendaten und 
biometiischen Daten des jeweiligen Systembenutzers 
umfassen, auf einem fur jeden Systembenutzer vorge- 
sehenen Identifikationsmedium und gegebenenfalls 
identifikadonsmediumspezifischei Daten, wenn das 
Ergebnis der Fahndungsabfrage negativ ist, 

- Vereinzelung der einen Grenziibertrittsversuch un- 
tcrnebmenden Systembenutzer vor einer Durchgangs- 
schleuse mit einem Eingang und einem Ausgang, wo- 
bei der Eingang und der Ausgang in Gtundstellung ge- 
schlossen sind, 

- Lesen der auf dem Identifikationsmedium gespei- 
cherten Daten, 

- Uberpriifung der Echtheit des jeweiligen Identifika- 
tionsmediums, 

- Uberprufen des Vorliegens einer Manipulation der 
Daten auf dem jeweiligen Identififkationsmedium, 

- Offnen des Eingangs der Durchgangsschleuse, wenn 
die Echtheit des jeweiligen Identifikationsmediums 
und keine Manipulation der Daten auf dem jeweiligen 
Identifikationsmedium festgestellt werden, 

- Erfassen von biometrischen Daten eines in die 
Durchgangsschleuse hineingelassenen Systembenut- 
zers, 

- Vergleichen der erfaBten biometiischen Daten mit 
den auf dem Identifikationsmedium des hineingelasse- 
nen Systembenutzers gespeicherten biometrischen Da- 
ten, 

- Auslosen eines Alarmsignals, wenn die erfaBten und 
die auf dem jeweiligen Identifikationsmedium gespei- 
cherten biometrischen Daten nicht ubereinstimmen, 

- Weitergeben der Personendaten an die Fahndungs- 
datenbank und Abfragen, ob der Systembenutzer auf 
einer Fahndungsliste steht, und 

- Offnen des Ausgangs der Durchgangsschleuse, 
wenn das Ergebnis der Fahndungsabfrage negativ ist, 
bzw. Auslosen eine Alarmsignals, wenn das Ergebnis 
der Fahndungsabfrage posidv ist 

Insbesondere kann bei dem System vorgesehen sein, daB 
die Einrichtung zur Erfassung von Personendaten von Sy- 
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stembenutzem eine Einrichtung zum automatischen Binle- 
sen der Personendaten aufweist, Beispielsweise kann die 
Einrichtung zum automatischen Einlesen der Personendaten 
ein Scanner sein 

Vortetfrmfterweise umfaBt die Einrichtung zur Erfassung 
von biometrischen Daten eine Einrichtung zur Erfassung ei- 
nes Fingerabdruckes und/oder der Netzhautstruktur und/ 
oder der Gesichtsmerkmale und/oder der Stimme und/oder 
Sprache eines jeweiligen Systembenutzers 

Eine wekere besondere Ausfuhriingsform des Systems ist 
gekennzeichnet durch eine Einrichtung zur Ver arbeitung der 
erfaBten biometrischen Daten und Umrechnung in ein oder 
mehrere reprasentative(s) Datcnmerkmai(e), anhand dessen/ 
derer eine Wiedererkennung des Systembenutzers bei der 
Kontrolle moglich ist. 

Auch kann yorgesehen sein, daB die Einrichtung zur Spei- 
cherung von Daten eine Einrichtung zur Verschlusselung 
derPersonen- und/oder Identifikationsmediumdaten und zur 
Erzeugung eines identifikationsmediumspezifischen Schltis- 
sels aufweist 

Fernet kann auch vorgesehen sein, dafl die Vcrschlussel- 
ungseinrichtung ein lokal vorgesebenes Sicherheitsmodul 
ist oder sich in einem Hinteigrundsystem befindet, das liber 
eine On-Line-Datenverbindung verbunden ist 

Vorzugsweise weist die Einrichtung zur Speicherung der 
Daten eine Einrichtung zur elektrischen Personalisieiung 
der verschlilsselten Daten in dem Identifikationsmedium 
und/oder eine Einrichtung zum Aufbringen der Personenda- 
ten und gegebenenfalls eines Fotos sowie der Unterschrift 
des jeweiligen Systembenutzers auf das Identifikationsme- 
dium auf Beispielsweise konnen die Personendaten im 
Thermotransfer-Druck auf das Identifikationsmedium auf- 
gebracht werden 

Giinstigerweise weist die Einrichtung zur Speicherung 
der Daten eine Einrichtung zum Uberziehen des Identifikati- 
onsmediums miteiner Laminatioiie auf Durch dieLaminat- 
folie wird das Identifikationsmedium falschungssicber 

Vorzugsweise sind die Identifikationsmedien Smart 
Cards 

Giinstigerweise ist in der Durchgangsschleuse minde- 
stens eine Videokamera vorgesehen Dies ermoglicht eine 
"Oberwachung der Durchgangsschleuse insbesondere hin- 
sichtlich der Vornahme einer wirksamen Vereinzelung 

Weitei bin kann vorgesehen sein, daB die Einiichtung zum 
Lesen der auf den Identifikationsmedien gespeicheiten Da- 
ten eine Einrichtung zum Berechnen des identifikationsme- 
diumspezifischen Schliissels aus den verschlusselten Identi- 
fikationsmediumdaten und Verifikation desselben aufweist. 
Damii ist die Vornahme einer Kartenlegitimationsprufung 
moglich 

Weiterhin weist die Einrichtung zum Lesen der auf dem 
Identifikationsmedium gespeicherten Daten vorzugsweise 
eine Einrichtung zum Entschlusseln der verschlusselten Per- 
sonendaten und Verifikation derselben auf Dies ermoglicht 
eine Personenlegitimationsprtifung 

Eine weitere besondere Ausfuhmngsfbrm der Erfindung 
ist gekennzeichnet durch eine Einrichtung zur Erzeugung 
und Verteilung von Schlusseln fur die Datenverschltisselun- 
gen und Uberwachung des Systembetriebes. Eine derartige 
Einiichtung erfullt die Funktion eines Trust Center. 

Eine weitere besondere Ausfuhrungsform der Erfindung 
ist gekennzeichnet durch eine Einrichtung zur Verwaliung 
und Uberwachung insbesondere der Lebensdaucr aller an 
Systembenutzer ausgegebencr Identifikationsmedien 

SchlieBlich ist eine weitere besondere Ausruhrungsform 
der Erfindung gekennzeichnet durch eine Einrichtung zur 
kryptographischen Verschlusselung von zwischen Einrich- 
tungen des Systems und/oder zwischen dem System und ex- 



temen Einiichtungen Ubertragenen Daten Dies soli vox ei- 
nem unerlaubten Zugriff auf die ubertragenen Daten scbiit- 
zen. 

Die Unteianspriiche 17 bis 26 betreffen vorteilhafte Wei- 
5 terentwicklungen des erfindungsgemaBen Verfahrens 

Der Erfindung liegt die uberraschende Erkenntnis zu- 
grunde, daft durch eine Integration der behordfichen Kon- 
trollen in den Gesamtablauf, wobei ein Teil der Kontrolle im 
Prinzip vorgezogen wird, eine Beschleunigung und Verein- 
10 fachung der Abwicklung des Grenzverkehrs erzieli wird, 
ohne da(3 darunter die Qualitat der Kontrolle leidet Durch 
die zumindest zum Teil vorgezogene Kontrolle kann die 
Kontrolle an der Grenze hinsichtlich derbereits vorab kon- 
trollierten, unproblematischen Reisenden vereinfacht und 
15 verkiirzt werden, wodurch eine Konzentration der Polizei- 
und Konlroilkrafte auf potentielle Tater und Gefahren mog- 
lich wird 

Die vorab durchgefuhrte Kontrolle erlaubt eine maschi- 
nelle Uberpxtifung des polizeilich unproblematischen grenz- 

20 uberschreitenden Reisenden verkehrs mit ail den Einzelkom- 
ponenten, die auch eine Grenzkontrolle durch Polizeibcamte 
beinhaltet, namlich Personenvergleich, Echtheitspiiifung 
von Grenzubertrittsdokumenten, Fahndungsabfrage, Gestat- 
tung des Grenzubertritts Dabei werden tinter Beriicksichti- 

25 gung aller nationalen, Schengener und EU-Anforderungen 
zuvor aus polizeilichet Sicht unproblematische eingestufte 
Reisende nach Antragstellung und auf freiwilliger Basis 
mittels auf ihren Identifikationsmedien gespeicherten Perso- 
nendaten und biometrischen Daten beim Grenzubertritt je- 

30 weils aktuell maschinell identifiziert und iiber eine On-Line- 
Fahndungsabfrage polizeilich uberpriift 

Weitere Merkmale und Vorteiie der Erfindung ergeben 
sich aus den Anspruchen und aus der nachstehenden Be- 
schreibung, in der ein Ausluhrungsbei spiel anhand der sche- 

35 matischen Zeichnungen im einzelnen erlautert ist Dabei 
zeigt: 

Fig, 1 eine Draufsicht eines Teils eines Systems gemaB ei- 
ner besonderen Ausfuhrungsform der vorliegenden Erfin- 
dung; und 

40 Fig. 2 schematiscb wesentliche Einrichtungen und Ein- 
richtungsblocke des Systems; 

Fig, 1 zeigt eine Draufsicht eines Teils eines Systems ge- 
maB einer besonderen Ausfuhrungsiorm der Erfindung. Der 
gezeigte Teil betrifft die Kontrolle von Systembenutzern cii- 

45 rekt an einer Gr enze (z. B landesgrenze). Fig. 1 zeigt eine 
Durchgangsschleuse 10 mit einem Eingang 12 und einem 
Ausgang 14 Der Eingang 12 und der Ausgang 14 sind je- 
weils mit einer Drehtur 16 bzw, 18 versehen Vor der Dreh- 
tur 16 am Eingang 12 befindet sich eine Einrichtung zur Ver- 

50 einzelung der Systembenutzer (nicht gezeigt). Die Vereinze- 
lung kann mechanise^ aber auch z B optisch durchgefuhrt 
werden Beispielsweise kann dazu eine Ampel verwendet 
werden Wenn die Ampel auf Griin stent darf eine einzelne 
Person passieren Wenn eine Person bei Rot weitergeht, 

55 wird ein optischer und/oder akustischer Alarm ausgeiosf 
Zwischen dieser Einrichiung und der Drehtur 16 befindet 
sich ein Kartenlesegerat 20 zum Lesen Yon Smart Cards, 
Die Drehtur 16 ist in Gmndstellung arretiert und verschlieBt 
somit den Eingang 12 In der Durchgangsschleuse 10 befin- 

60 det sich ein Biometriedatenlesegerat 22 Das Kartenlesege- 
rat 20 und das Biometriedatenlesegeiat 22 sind mit einem 
lokalen Server des Bundesgrenzschutzes (nicht gezeigt) ver- 
bunden In der Durchgangsschleuse 10 befindet sich daruber 
hinaus noch eine Videokamera 24 zur Uberwachung der mc- 

65 chanischen Vereinzelung der Systembenutzer. 

In Fig 2 sind schematisch die wesentlichen Einrichtun- 
gen einzein bzw in Blocken des Systems gezeigt. Ein Sy- 
stembiock, der mil dem Bezugszeichen 26 versehen ist, be- 
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trifft die Beantragung und Ausgabe einer Karte (sogenann- 
tes Enrolment Center) Die Karte in Form einer Smart Card 
28 dient ais Berechtigungsausweis fur jeden Systembenut- 
zer. Sie wird beim Grenziibertritt in dem in Fig,. 1 gezeigten 
Teil des Systems, der hier als dezentrales automatisiertes S 
Grenzkontrollsystem 30 bezeichnet ist, iiberpruft Das de- 
zentrale automatisierte Grenzkontrollsystem 30 umfaBt ei- 
nen lokalen Server des Bundesgrenzschutzes, der liber einen 
Dienststellen-Server 32 des Bundesgrenzschutzes mit einer 
Fahndungsdatenbank 34 der INPOL, einem Trust Center 36, 10 
einer zentralen Datenverwaltungseinrichtung 38 des Bun- 
desgrenzschutzes und dem Enrolment Center 26 in Verbin- 
dung stent 

In dem Enrolment Center 26 kann eine Kartenbeantra- 
gung vorgenommen werden Diese umfaBt alle ProzeB- 15 
schritte, die zur Erfassung der potentiellen Systembenutzer. 
also insbesondere die Erfassung ibrer Personen- und biome- 
trischen Daten, notwendig sind Es konnen mehrere Enrol- 
ment Center vorgesehen sein, die an verschiedenen Orten 
errichtet sind Zur Kartenbeaniragung legen die potentiellen 20 
Systembenutzer ihr Grenzu^ertrittsdokument vor, von dem 
der Bedtener ernes PCs, auf dem die Erfassungssoftware 
lauft, die Daten automadsch oder manuell erfaBt. Der Da- 
tensatz wird auf einem Formblatt ausgedruckt und vom an- 
tragstellenden, potentiellen Systembenutzer unterschrieben 25 
Das Formblatt enthalt unter anderem folgende weitere An- 
gaben: 

- eine Beschreibung des Systems, 

~ die Personalien des potentiellen Systembenutzers, 30 

- die Bedingungen fur die freiwillige Teilnahme am 
System, 

- die notwendigen datenschutzrechtlichen Erklarun- 
gen zur Erhebung, Speicherung, Ubermittlung und Ver- 
arbeitung der Personcndatcn des antragstellenden, po- 35 
tentiellen Systembenutzers im Zusammenhang mit der 
automatisierten Grenzkontrolle, 

- einen Hinweis auf die Pflicht des Systembenutzers, 
bei jedem Grenzubertritt ein gultiges Grenzubertritts- 
dokument mit sich zu fuhren, und 40 

- Hinweise zu den anerkannten Reisezwecken, fur die 
das System gcnutzt werden darf . 

In einem nachsten Schritt wird der Hngerabdruck des po- 
tentiellen Systembenutzers rnittels eines Finger abdrucklese- 45 
gerates (nicht gezeigt) erfafit Die vom Finger abdrucklese- 
getat gewonnen Daten werden durch die Verarbeitungssoft- 
ware in ein oder mehrere representative Datenmerkmale 
umgerechnet, anhand derer eine Wiedererkennung des Sy- 
stembenutzers bei der Grenzkontrolle mbglich wird Dann 50 
wird ein Test auf Duplikate vorgenommen, das heiBt es wird 
uberpriift, ob der Antragsteller bereits im System erfaBt ist 
Die zuvor erf aflten Personendaten werden um die biometri- 
schen Daten erganzt und zur Verschlusselung gegeben. 
Diese erfolgt entweder am lokalen System in einem dafur 55 
vorgesehenen Sicherheitsmodui oder in einem Hintergrund- 
system, zu welchem fur diesen Zweck eine On-Line-Daten- 
verbtndung geschaltet wird Die verschliisselten Daten wer- 
den im Enrolment Center in einen Smar t Card-Rohling elek- 
trisch personalisiert und die Personendaten auf dem Smart- 60 
Card-Korper im Thermotransfer-Druck aufgebracht Zu- 
satzlich konnen gegebenenfalls ein Foto des Systembenut- 
zers sowie seine Personalien (beides er forderlichen falls als 
Grundlage fur eine manuelle Uberprlifung, z B im Rahmen 
von Stichprobenkontrollen), seine Unterschrift und der 65 
Name des ausstellenden Enrolment Centers aufgedruckt 
werden. AnschlieJtend wird der Smart-Card-Korper mit ei- 
ner falschungssicheren Laminatfolie iiberzogen All diese 
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Schritte laufen in einer Maschine ab und werden vom PC 
uberwacht Nach einer Funktionskontrolle an einem Termi- 
nal im Enrolment Center wird die Smart Card dem System- 
benutzer ausgehandigt, Das gesamte Enrolment dauert we- 
niger als 10 Minuten. Die Kartenbeantragung und -ausgabe 
kann auch gleichzeitig mit der erstmaligen Benutzung des 
Systems an der Grenze vor Ort vorgenommen werden 

Alle hoheitlichen Schritte - die Durcbfuhr ung der vorge- 
zogenen Grenzkontrolle entsprechend der naiionalen, 
Schengener und EU-Anforderungen und die Freigabe der 
Smart Card - sind einem Beamten der Grenzkontrollbe- 
hordc vorbehalten Er wird gegebenenfalls unterstiitzt durch 
Personal bzw Beauftragte des Betreibers, Fur die Mitarbei- 
ter in den Enrolment Center werden ebenf alls geeignete Zu- 
gangskontrollen vorgesehen, 

Daruber hinaus stellt die Erfassungssoftware sicher, daB 
Smart Cards nur mit Zutun legitimierter Grenzkontrollbe- 
amter, nur nach erfolgreichem Verlaufen aller erforderlichen 
Schritte und nur fur visumsbefreite Angeborige besdmmter 
zugelassener Staaten ausgestellt werden, die im Besitz eines 
gultigen Reisedokumcntcs sind 

Die Kartenkontrolle umf a.Bt alle Prozesse, die bei der Prii- 
fung des Karteninhabers im Rahmen der Einreise durchge- 
fiihrt werden Die Kartenkontrolle findet innerhalb einer 
Durchgangsschleuse 10 (siehe Fig* 1) statt, weiche die zu 
kontrolJierende Person betreten muft 

Die Durchgangsschleuse selbst kann problemlos in die 
bestehende Infrastruktur integriert werden, das heiBt es sind 
nur geringfugige bauliche Veranderungen notwendig Der 
lokale Server dient zur Ablaufsteuerung und zur Kommuni- 
kation mit extemen Rechnem 

Vor der Durchgangsschleuse 10 findet zunachst eine me- 
chanische Vereinzelung rnittels einer Einrichtung zur rne- 
chanischen Vereinzelung (nicht gezeigt) statt, urn das Ein- 
treten von Unberechtigten sowie mehrcrcn Personen zur 
gleichen Zeit zu verhindern Diese Maflnahme wird durch 
den Einsatz einer Videokameta 24 in der Durchgangs- 
schleuse 10 und entsprechender Bildausweriungssoftware 
erganzt 

Hinter der Einrichtung zur Vereinzelung, aber vor dem 
Eingang 12 wird die zu uberprufende Person zumEinfuhren 
der Smart Card in ein Kartenlesegerat 20 aufgefordert In 
dem Kartenlesegerat 20 befindet sich ein Sicherheitsmodui 
(nicht gezeigt) zurEchtheitstiberprufung der Smart Card so- 
wie der dar auf gespeicherten Per sonendaten Jede authenti- 
sche Smart Card besitzt einen Smart Card-spezifischen 
Schliissel, der basierend auf bestirnmten Smar t Card Daten 
von dem Sicherheitsmodui im Kartenlesegerat 20 berechnet 
und sodann verifiziert werden kann Die KommunikaLion 
zwischen der Smart Card und dem Sicherheitsmodui in dem 
Kartenlesegerat 20 wird zusatzlich mit einem temporaren 
Schliissel geschiitzt, der vorher zwischen der Smart Card 
und dem Sicherheitsmodui ausgehandelt worden ist 

Danach werden die Per sonendaten einschlieSlicb biome- 
trischen Daten aus dei Smart Card gelesen und eine ange- 
hangte Signatur (MAC) mit Hilfe des olTentlichen Schllis- 
sels im Sicherheitsmodui auf Echtheit iiberpruft So konnen 
illegale Datenmanipulationen sicher erkannt werden 

Wenn die Echtheit der Karte und das Vorliegen keiner Da- 
tenmanipulation verifiziert worden sind, iaBt sich die Dreh- 
tur 16 drehen, so daB die Person in die Durchgangsschleuse 
gelangen kann.. In der Durchgangsschleuse 10 wird rnittels 
des Biometriedatenlesegerates 22 der Fingerabdruck des Sy- 
stembenutzers erhoben und ein Vergleich mit den auf seiner 
Smart Card gespeicherten biometrischen Daten vorgenom- 
men. Dazu werden aus den lokal gewonnen Daten Extiakte 
gebildet und mit den in der Smart Card gespeicherten Daten- 
mer kmalen verglichen 
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Durch dieses zweistufige Uberpriifiingsverfiaht en am Ein- 
gang dei DurchgangsschLeuse und innerhalb derselben wird 
zweierlei erreicht: 

- es wird festgestellt, daB es sich bei der Person, der 5 
aufgrund der am Eingang der Durcbgangsscbieuse ge- 
priiften Smart Card der EinlaB gewahrt wurde, um ei- 
nen berechtigten Systembenutzer handelt; 

- unberechtigten Personen wird der Eintritt in die 
Durchgangsschleuse verwebrt; hiei diirfte es ausrei- 10 
cben, auf einem Bildschirm am Kartenlesegerat am 
Eingang der Durchgangsschleuse einen Hinweis zu gc- 
bcn, sich der regularen Grenzkontrolle zu unterziehen 

- Mifibrauchliche Benutzer oder durch das System 
falschlicherweise zuriickgewiesene Berechtigte (dies 15 
laBt sich durch kern techmsches System zu 100% aus- 
schlieBen) werden spatestens in der Durchgangs- 
schleuse zuverlassig festgestellt Hier ware - nach ei- 
ner entsprechenden automatischen Alarmauslosung 
durch das System - ein Eingreifen durch die Grenzkon- 20 
trollbehordc oder einen Beauftragten erforderlich, um 
die Person aus der Durcbgangsschleuse zu befreien und 
einer regularen Grenzkontrolle zuzufuhren 

Im nachsten Schiitt werden die erfbrderiichen Personen- 25 
daten uber den lokalen Server des Bundesgrenzschutzes zur 
Uberprufung an eine Fahndungsdatenbank der TNPOL wei- 
tergeleitet. 

Wenn alle vorab beschriebenen Schritte beanstandungslos 
durchlaufen werden, wird dei Ausgang der Durchgangs- 30 
schleuse freigegeben Im Falle einer Beanstandung oder ei- 
nes fehlerbaften Verhaltens des System wird ein Alaim aus- 
gelost und mil der Uberprufung der Person durch Personal 
des Bundesgrenzschutzes fortgefahren 

Die Gestaltung der Durchgangsschleuse, die Art der ver- 35 
wendeten Vereinzetungstechnik und dei Freigabe am Aus- 
gang der Durchgangsschleuse konnen in Abhangigkeit von 
z B der Ergonomie und der Fuhxung groBer Verkehrs- 
strome bestimmt werden 

Das Trust Center 36 dient als zentr ale Systemkomponente 40 
zur Verwaltung aller sicherbeitsrelevanten Aspekte des Sy- 
stems, also insbesondere zur Erzeugung und Verteilung von 
Schlusseln und Ubcrwachung des laufcndcn Systcmbctric- 
bes. 

Die zentrale Datenverwaltungseinrichtung 38 des Bun- 45 
desgrenzschutzes dient zur Verwaltung aller ausgegebenen 
Smart Cards mit Funktionen zur tfberwachung des Card 
life Cycle. Die Kartenverwaltung beinhaltet auch die Funk- 
tionen zur Antragsbearbeitung, also der Erfassung der Per- 
sonendaten und der biometrischen Daten 50 

Die besondere Sensibilitat der Daten der Smart Cards und 
dei damit verbundenen Funktionalitat erfordern ein hohes 
Mafi an Schutz gegen: 

- Verfalschung der Personendaten auf der Smart Card 55 

- Verfalschung der biometrischen Daten 

- Verfalschung der Verbindung zwischen biometri- 
schen Daten und den Personaldaten 

- Manipulationen an einem Kontroliterminal 

- Manipulationen bei der Erfassung der Personenda- 60 
ten bzw. der biometrischen Daten und 

- Angriffe auf die kryptogr aphischen Funktionen im 
System 

Zur umfassenden Absicherung dieser Risiken 1st eine 65 
schalenartige Sicherheitsarcbitektur zur Absicherung zen- 
traler Infonnationen und Funktionen ratsam. Ziel der Archi- 
tektur ist, die Errichtung mehrerer Hiirden; die ein potentiel- 
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ler Angreifer uberwinden rnuB, um das System zu manipu- 
lieren 

Den Kern bilden die Personendaten zusarnrnen mit den 
biometrischen Daten Diese Daten werden im System als 
eine Einheil betracbtet, das heiBt biometrische Daten sind 
ein Element des Personendatensatzes Uber den Personen- 
datensatz wird zunachst mit Hilfe eines Secure Hash-Ver- 
fahrens, z B dem SHA-1 Aigorithmus, eine kryptographi- 
sche Prufsurnme erzeugt Dieser 160 Bit lange Wert bat die 
typischen Eigenschaften eines guten Hash-AIgorithmus, das 
heiBt, er ist im wesentlichen kollisionsfrei Das Ergebnis des 
Algorithmus wird als ein Teil der Kryptogrammbildung ver- 
wendet, da der gesamte Personendatensatz als Eingabeda- 
turn der Verschlusselung zu groB ist Der Hash- Wert kom- 
primiert den Inhalt des Personendatensatzes auf eine stark 
reduzierte Form, Dabei kann vom Hash- Wert nicht auf die 
ursprungllchen Daten geschlossen werden. Anderungen im 
Personendatensatz ergeben zwangslaufig eine Anderung im 
Hash- Wert. Das Secure Hash-Verfahren ist kein Verschlus- 
selungsverfahren, das heiBt, es verwendet keine Schlussel 

In der zweiten Schale werden wescntlichc Extraktc aus 
den Personendaten (z B Name, Geburtsdatum und Ge- 
burtsort), insbesondere also die Daten fur die Abfrage bei 
der INPOL-Fahndungsdatenbank, zusammen mit dem 
Hash- Wert mit einem Private Key-Verfahren verschlusselt. 
Als Private Key-Verfahren sollen - abhangig von der weite- 
ren Detailabstimmung - RSA mit einer Schlussellange von 
mindestens L024 Bit oder elliptische Kuiven mit hinrei- 
chender Schlussellange genutzt werden,. 

Fur die Verschlusselung des Extraktes wird der private 
Schlussel einer Ausgabestelle oder der private Schlussel ei- 
ner zentralen Instanz verwendet Im letzteren Fall muB der 
Personendatensatz zur Verschlusselung an die zentrale In- 
stanz versandt werden und er kann erst dann in die Smart 
Card personalisierl werden (z B. durch On-Iinc-Anfrage) 

Fur die Entschlusselung des Extraktes wird der offentli- 
che Schlussel benotigt Dieser wird in den KontroUterminals 
hinterlegt Eine Entschlusselung liefert zunachst die Perso- 
nendaten ftir die INPOL-Abfrage und den Hash- Wert Der 
Hash-Wat wird mit einem erneut berechneten Hash- Wert 
verglichen . Bei Gleicbheit kann von einem unverfalschten 
Datensatz ausgegangen werden 

Inncrhalb des Verfahrens sind eine Reihe von Vaiianten 
moglich, deren Nutzung von den konkreten Rahmenbedin- 
gungen abhangt: 

- Eine eindeutige Smart Card-Nummer konnte in den 
Personendatensatz aufgenommen und dadurch mit die- 
sem verknupft werden, Eine Ubertragung der Dalen 
auf ein andere Smart Card ware damit nicht moglich 
Eine sinnvolle Nutzung dieser Option setzt eine On- 
Line-Personalisierung voraus, bei der Personendaten 
und die Smart Card-Nummer verschlusselt und direkt 
in die Smart Card personalisiert werden, 

- Die Verschlusselung des Personendatensatzes kann 
mit dem privaten Schlussel der AusgabesLelle durchge- 
fuhrt werden, Diese wurde dann ihren offentlichen 
Schlussel in der Smart Card speichern Eine Kontroll- 
station wiirde dann zur Verifikation des Extraktes den 
von der Smart Card gelieferten offentlichen Schlussel 
der Ausgabestelle nutzen Zur Verhinderung des MiB- 
brauches, etwa der Einspielung von gefalschten offent- 
lichen Schlusseln einer Ausgabestelle, miissen die 
Schlusselpaare der Ausgabestelle von einer zentralen 
Instanz elektronisch signiert werden Ein solches Ver- 
fahren erlaubt die Ausgabe der Smart Card ohne Zu- 
griff und Autorisierung durch ein Zentralsystem 
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Jecie Smart Card im System erhalt bei der Herstellung 
eine eindeutige Seriennummer Diese Seriennummer ist 
Grundlage der kryptographischen Verfahren, die aktiv durch 
die Smart Card ausgefutirt werden Die Smart Card enthalt 
einen durch Ableitung der Seriennummer unter einem Ma- 5 
sterschlussel gewonnen smartcardspezifiscben Schliissel zur 
Autbentisierung 

Die Authentisierung erfolgt implizit durch das Auslesen 
der Personendaten im sogenannten PROMode Der PRO- 
Mode ist eine in IS0781G eingefiibrte Vaiiante des Lesezu- 10 
griffs, bei dem die an das Terminal ubertragenen Daten 
durch einen Message Authentication Code (MAC) gesichert 
werden Dieser MAC wird dynamisch bei jedem LesezugritT 
neu erzeugt, um einen sogenannten Replay-AngrifF, also das 
erneute Einspielen bereits gelesener Daten, auszuschlieBen 15 

Die Erzeugung des MAC erfolgt innerhalb des Betriebs- 
systems der Smart Card unter Nutzung des kartenindividuel- 
len Authentisierungsschlussels und einer durch das Termi- 
nal gelieferten Zufallszahl Das Terminal enthalt hierzu in 
einem Sicherhettsmodul (z. B eine weitere Smart Card) ei- 20 
nen Zu falls zahlengenera tor und den Masterschlussel, wcl- 
che fur die Ableitung des Smart Card-Schlussels unter der 
Smart Card-Seriennummer benutzt wird. Das Terminal 
tiberpruft selbstandig und unmittelbar nach dem Auslesen 
der Smart Card-Daten den MAC und weist eine Karte mil 25 
fehler haftem MAC ab 

Wichtig ist in diesem Zusammenhang, daB der MAC dy- 
namisch durch die Smart Card erzeugt wird Der dazu not- 
wendige Schliissel muB in der Smart Card vorhanden sein 
Eine Manipulation der Smart Card, z B, durch Duplizieren, 30 
erfbrdert Zugriff auf diesen Kartenschlussel, welches nur 
unter hohem finanziellen Auf wand moglich ist 

Auch fur diese Schutzstufe gibt es eine Vaiiante, die je- 
doch eine leistungsfahigere Smart Card voraussetzt Statt ei- 
nem symmetrischen Verfahren fur die MAC-Bildung (in der 35 
Regel Triple DES) kann das asymmetiische Verfahren dei 
elliptischen Kurven Anwendung finden Bei diesem Verfah- 
ren wird in der Karte der private, kartenindividuelle Schlus- 
sel auslesegeschutzt gespeicbert und der offentliche Schliis- 
sel lesbar gemacht. Der offentliche Schliissel muB dazu mit 40 
dem privaten Schliissel des Systembetreibers signiert wer- 
den Ein Kontrolkcrminal braucht nun nur den weniger si- 
cberheitskritischen, offentlichen Schliissel des Systembe- 
treibers zu speichern und mit ihm die Echtheit des kar tenin- 
dividuellen offentlichen Schliissel zu uberpriifen 45 

Das Auslesen der Daten erfolgt analog dem symmetri- 
schen Verfahren, mit der Abweichung, daB der MAC durch 
den asymmetrischen Aigorithmus erzeugt wird 

Solche Verfahren auf Basis asymmetrischer Kryptogra- 
phie finden aufgrund ihrer hohen Anforderungen an die Re- 50 
chenleistung nur begrenzten Einsatz in Smart Cards Im De- 
tail muB hier sicher noch das Antwort-Zeitverhalten einer 
solchen Losung betrachtet werden. 

Die Ubertragung der Daten zwischen Einrichtungen des 
Systems, insbesondere die Ubertragung der Daten bei der 55 
Kartenausgabe soli durch kryptograpbische Ver fahren abge- 
sichert werden Hierzu bieten sich Verfahren der Line- Ver- 
schlusselung an, mit denen sich geschutzte, tr ansparente Da- 
tenkanale aufbauen lassen, 

Mit diesen Verfahren lafit sich die Integtita t der Daten und 60 
die Vertraulichkeit sicherstellen Letztere ist insbesondere 
bei der Erzeugung und Verteilung der Systemschliissel von 
Bedeutung 

Ein wescntKchcr, oft unterschatzter Mechanismus zur Si- 
cherung von Informationssystemen ist die Einbettung der 65 
technischen Systeme in eine zuverlassige Ablaufarganisa- 
tion (5 Schale) Die besten und langsten Schlusselverfahren 
der Welt niitzen nichts, wenn die Schliissel einfach zugang- 



lich sind Technische Verfahren konnen hier nur einen be- 
grenzten Schutz her stellen, einem Angriff von innen sind sie 
oft schutzlos ausgeliefert 

Ein weiteres Merkmal der 5 Schale ist die Absicht, alle 
sicherheitsrelevanten Systenieinrichtungen in die Obhut der 
Grenzkontrollbehorde zu steilen, Dadurch soil aus Sicht der 
Behorde gewahr leistet werden, daB ein Zugriff auf diese Sy- 
stemeimichtungen ohne ihrZutun und unter keinen Umstan- 
den moglich ist Dazu miissen sich nicht alle Systenieinrich- 
tungen tatsachlich in den Raumlichkeiten der Behorde selbst 
befinden Dei technischen Betiieb konnte auch bei einem 
Beauftragten der Behorde durchgeflihrt werden, solange 
durch entsprecbende vcrtragliche Gewahrleislungsklauseln 
ein unerlaubter Zugriff durch Dritte (einschlieBlich dem Be- 
treiber) unmdglich ist 

Eine zusatzliche organisatorische Schutz vorkehrung be- 
steht darin, daB alle hoheitlichen Schritte - das heiBt die 
Durcbfuhrung der vorgezogenen Grenzkontrolle entspre- 
chend den nationalen, Schengener und EU-Anfordernngen 
und die F'reigabc der Smart Card - einem Beamten der 
Grenzkontrollbehorde vorbehalten sind. Fur inn sowie fur 
die anderen Mitarbeiter In dem Enrolment Center bestehen 
geeignete Zugangskontrollem 

Dar liber hinaus stelLt die Erfassungssoftware sicher, daB 
Smart Cards 

- nur auf der Basis im System bereits bekannter Smart 
Card-Rohlinge Qeder Smart Card-Rohling besitzt eine 
ein-eindeutige Kartennummer), 

- nur mit Zutun im System legitimierter Grenzkon- 
trollbeamter, 

- nur nach erfblgreichem Durchlaufen aller erforder li- 
chen Schritte und 

- nur fur Angehorige bestirnrnter zugelassener Slaaten 
ausgestcllt werden, die im Bcsitz eines gultigen Reise- 
dokumentes sind 

Die ertindungsgemaBen Systeme haben einige Vorteiie, 
die es von verschiedenen anderen, bislang erfolglosen Ver- 
suchen zur rlachendeckenden Einfuhrung automatisierter 
Grenzkontrollen unterscheiden: 

- Das System stellt cine wirksame und sparsameMog- 
lichkeit dar, Grenzkontrollbehorden effizienter zu raa~ 
chen Das System erlaubt es den Grenzkontrollkraften, 
sich auf einen eher polizeilich relevanten Personen- 
kreis zu fokussieren Damit konnen sie mit weniger 
Aufwand mehr fur Sicherheit und Service leisten 

- Die gemaS einer besonderen Ausfuhrungsfonn der 
Erfindung eingesetzte Smart Card erlaubt die Speiche- 
rung auch sensibler Daten ohne das Risiko eines MiB- 
brauchs durch unetlaubte Ver ander ungen oder von Fal- 
schungen 

- Das Verfahren erlaubt kurzestmogliche Transakd- 
onszeiten (im wesentlichen nur abhangig vom Ant- 
wort-Zeitverhalten der Abfrage bei der TNPOI -Fahn- 
dungsdatenbank) 

- Das Verfahren erlaubt geringstmogliche Trans akti- 
onskosten 

- Das Verfahren birgtkeine datenschutzrechtlichePro- 
blematik (der Besitzer tragi seine vor unberechtigtem 
Zugriff sicher geschutzten personenbezogenen Daten 
mit sich) 

- Die in einer besonderen Ausflihrungsfbrm der Erfin- 
dung verwendete Smart Card enthalt ausreichende 
Speicherkapazitat fur diese und gegebenenfalls weitere 
zukLinftige Anwendungen mit zusatzlichen Nutzpoten- 
tialen 
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- Auf dei gemaB einer besonderen AusfiihrungsfoiTii 
der Erfindimg verwendeten Smart Card befindet sich 
ausreichend Platz, um gegebenenfalls weitere Sicher- 
heitsmerkmale (z B mascbinenlesbares Hologramm 
mit Mikroschrift) oder andere Speichervarianten 5 
gleichzeitig zu nutzen 

Die in der vorstehenden Beschreibung, in den Zeichnun- 
gen sowie in den Anspriichen offenbarten Merkmale dei Er- 
findung konnen sowobl einzeln als auch in beliebigen Kom- 10 
binationen fur die Verwirklichung der Erfindung in ihren 
verschiedenen Ausfuhrungsformen wesentliche sein 

Bezugszeichenliste 

15 

8 Grenze 

10 Durchgangsscbleuse 
12 Eingang 
14 Ausgang 

16, 18 Drehtiir 20 
20 Kartenlesegcrat 
22 Biornetriedatenlesegerat 
24 Videokamera 
26 Enrolment Centex 

28 Smart Card 25 
30 dezentrales automatisiertes Grenzkontrollsystem 
32 Dienststellen-Server 
34 Fahndungsdatenbank 
36 Trust Center 

38 zentrale Datenyeiwaltiingseinrichtung 30 

Patentansptliche 

1 System zur automatisierten Kontrolle des Passie- 
rcns emer Grenze, mit: 35 

- einer Einrichtung zur Eifassung von Personen- 
daten von Systembenutzern, 

- einer Einrichtung zur Erfassung von biometii- 
schen Daten der Systembenutzer, 

- einer Einrichtung zur Weitergabe der Per sonen- 40 
daten der Systembenutzer an eine Fahndungsda- 
tenbank (34) und Abfragc, ob der jeweilige Sy- 
stembenutzer auf einer Fahndungsliste steht, 

■ einer Einrichtung zum Speichern von Daten, 
die die Personendaten und biometrischen Daten 45 
des jeweiligen Systembenutzers umfassen, auf ei- 
nem fur jeden Systembenutzer vorgesehenen 
Identifikationsmedium und gegebenenfalls idend- 
iikationsmediumspeziflscher Daten, wenn das Er- 
gebnis der Fahndungsabfrage ncgativ ist, 50 

- einer vor einer Grenze (8) angeordneten Durch- 
gangsschleuse (10) zum Regulieren des Durch- 
gangs dei Systembenutzer mit einem Eingang 
(12) und einem Ausgang (14), wobei der Eingang 
(12) und der Ausgang (14) in Grundstellung ver- 55 
schlossen sind, 

- einer vor dem Eingang (12) der Durchgangs- 
schleuse (10) angeordneten Einrichtung zur Ver- 
einzelung der Systembenutzer, 

- einer hinter der Vereinzetungseinrichtung, aber 60 
vor dem Eingang (12) der Durchgangsscbleuse 
(10) angeordneten Einrichtung zum Lesen der auf 
den Identifikationsmedien gespeicherten Daten, 

- einer vor dem Eingang (12) der Durchgangs- 
schleuse (10) angeordneten Einrichtung zur tJber- 65 
priifung der Echtheit der Identifikadonsmedien, 

- einer vor dem Eingang (12) der Durchgangs- 
schieuse (10) angeordneten Einrichtung zur Uber- 



priifung des Voriiegens einer Manipulation der 
Daten auf dem jeweiligen Identifikationsmedium, 

- einer Einrichtung zum Offnen des Eingangs 
(12) der Durchgangsschleuse (10), wenn die Echt- 
heit des jeweiligen Idenfi fikati on s mediums und 
keine Manipulation der Daten auf dem jeweiligen 
Identifikationsmedium festgestellt wurden, 

- einer in der Durchgangsschleuse (10) befindli- 
chen Einrichtung zum Erfassen von biometri- 
schen Daten eines hineingetassenen Systembenut- 
zers. 

- einer Einrichtung zum Vbrgleich der erfaBten 
biometrischen Daten mit den auf dern Identifikati- 
onsmedium des hineingelassenen Systembenut- 
zers gespeicherten biometrischen Daten, 

- einer Einrichtung zum Auslosen eines Alarmsi- 
gnals, wenn die erfaBten und die auf dem jeweili- 
gen Identifikationsmedium gespeicherten biome- 
trischen Daten nicht ubereinstimmen, 

- einer Einrichtung zur Weitergabe der Personen- 
daten an die Fahndungsdatenbank (34) und zur 
Abfrage, ob der Systembenutzer auf einer Fahn- 
dungsliste steht, und 

- einer Einrichtung zum Offnen des Ausgangs 
der Durchgangsschleuse (10) undBrrnoglichen ei- 
nes Grenzubertritts des Systembenutzers, wenn 
das Ergebnis der Fahndungsabfrage negativ ist, 
und zur Auslosung eines Aiarmsignais, wenn das 
Ergebnis der Fahndungsabfrage positiv ist. 

2 System nach Anspruch 1, dadurch gekennzeichnet, 
daB die Einrichtung zur Erf assung von Personendaten 
von Systembenutzern eine Einrichtung zum automati- 
schen Einlesen der Personendaten aufweist 

3 System nach Anspruch 1 oder 2, dadurch gekenn- 
zeichnet, daB die Einrichtung zur Erfassung von bio- 
metrischen Daten eine Einrichtung zurErfassung eines 
Fingerabdruckes und/oder dei Netzhautstruktui und/ 
oder der Geskhtsmerkmale und/oder der Stimme und/ 
oder Sprache eines jeweiligen Systembenutzers auf- 
weist 

4 System nach einem der Anspruche 1 bis 3, gekenn- 
zeichnet durch eine Einrichtung zur Verarbeitung der 
erf aSten biometrischen Daten und Umrechnung in cin 
oder mehrere reprasentative(s) Datenmerkmal(e), an- 
hand dessen/derer eine Wiedererkennung des System- 
benutzers bei der Kontrolle moglich ist 

5 System nach einem der vorangehenden Anspr iiche, 
dadurch gekennzeichnet, daB die Eimichtung zur Spei- 
cherung von Daten eine Einrichtung zur Verschliisse- 
lung der Personen und/oder Identifikationsmediumda- 
ten und zur Erzeugung eines identifikationsmediunv 
spezifischen Schlussels aufweist 

6 System nach Anspruch 5, dadurch gekennzeichnet, 
daB die Verschlusselungseinrichtung ein lokal vorgese- 
henes Sicherheitsmodui ist oder sich in einem Hinter- 
grundsystem befindet, das iiber eine On-Iine-Daten- 
verbindung verbunden ist 

7. System nach Anspruch 5 oder 6, dadurch gekenn- 
zeichnet, daB die Einrichtung zur Speicherung der Da- 
ten eine Einrichtung zur elektrischen Personalisierung 
der' verschliisseiten Daten in dem Identinkadonsme- 
dium und/oder eine Einrichtung zum Aufbringen der 
Personendaten und gegebenenfalls eines Fotos sowie 
der Unterschrifl des jeweiligen Systembenutzers auf 
das Identifikationsrnedium aufweist 
8 System nach Anspruch 7, dadurch gekennzeichnet, 
daB die Eimichtung zur Speicherung der Daten eine 
Einrichtung zum Uberziehen des Identifikationsniedi- 
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urns mit einer 1 aminatfolie aufweist. 

9 System nach einem der vorangehenden Anspruche, 
dadurch gekennzeichnet, daB die Identifikationsmedien 
Smart Cards (28) sirid 

10 System nach einem der vorangehenden Anspru- 5 
che, dadurch gekennzeichnet, daB in der Durchgangs- 
schleuse (10) mindestens eine Videokamera (24) vor- 
gesehen ist 

11 System nach einem der vorangehenden Anspru- 
che, dadurch gekennzeichnet, dafi die Einrichtung zum 10 
Lesen der auf den Identifikationsmedien gespeicherten 
Daten eine Einrichtung zum Berechnen des identifika- 
rionsmediumspezifischen Schliissels aus den ver- 
schlusselten Identifikationsmediumdaten und Verifika- 
tion desselben aufweist. 15 

12 System nach einem der vorangehenden Ansprii- 
che, dadurch gekennzeichnet, daB die Einrichtung zum 
Lesen der auf dem Identifikationsmediura gespeicher- 
ten Daten eine Einrichtung zum Entschltisseln der ver- 
schlusselten Personendaten und Verifikation derselben 20 
aufweist. 

13 System nach einem der vorangehenden Anspru- 
che, gekennzeichnet durch eine Einrichtung zui Erzeu- 
gung und Verteilung von Schlussein fur die Datenver- 
scblusselungen und Uberwachung des Systembetrie- 25 
hes 

14 System nach einem der vorangehenden Anspru- 
che, gekennzeichnet durch erne Einrichtung zur Ver- 
waltung und Uberwachung insbesondere der Lebens- 
dauer aller an Systembenutzer ausgegebener Identifi- 30 
kationsmedien, 

15 System nach einem der vorangehenden Anspru- 
che, gekennzeichnet durch eine Einrichtung zur kryp- 
tographiscnen Verschlu'sselung von zwischen Einrich- 
tungen des Systetrrs und/oder zwischen aus dem Sy- 35 
stem und externen Eimichtungen ubertragenen Daten 

16 Verfahren zur automatisierten KontrolLe des Fas- 
sierens einer Grenze, das die folgenden Schiitte urn- 
faBt: 

- Erfassen von Per sonendaten von Systembenut- 40 
zern, 

- Erfassen von biometrischen Daten der System- 
benutzer, 

- Weitergabe der Personendaten der Systembe- 
nutzer an eine Fahndungsdatenbank und Vor- 45 
nahme einer Abfrage, ob der jeweilige Systembe- 
nutzer auf einer Fahndungsliste steht, 

- Speichern von Daten, die die Personendaten 
und biometrischen Daten des jeweiligen System- 
benutzers umfassen, auf einem fur jeden System- 50 
benutzer vorgesehenen Identifikationsmedium 
und gegebenenfalls identifikationsmediumspezifi- 
scher Daten, wenn das Ergebnis der Fahndungs- 
abfrage negativ ist, 

- Vereinzelung der einen Grenzubertrittsversuch 55 
unternehmenden Systembenutzer vor einer 
Durchgangsschleuse mit einem Eingang und ei- 
nem Ausgang, wobei der Eingang und der Aus- 
gang in Grundstellung geschlossen sind, 

- Lesen der auf dem Identifikationsmedium ge- 60 
speicherten Daten, 

- Uberpriifung der Echtheit des jeweiligen Iden- 
ti fikationsmediums, 

- Oberprrifen des Vorlicgcns einer Manipulation 
der Daten auf dem jeweiligen Identififkationsme- 65 
dium, 

- Offnen des Eingangs der Durchgangsschleuse, 
wenn die Echtheit des jeweiligen Identifications- 
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mediums und keine Manipulation der Daten auf 
dem jeweiligen Identifikationsmedium festgestellt 
werden, 

- Erfassen von biometrischen Daten eines in die 
Durchgangsschleuse hineingelassenen Systembe- 
nutzers, 

- Vergleichen der erfaBten biometrischen Daten 
mit den auf dem Identifikationsmedium des hin- 
eingelassenen Systembenutzers gespeicherten 
biometrischen Daten, 

- Auslbsen eines Alarmsignals, wenn die erfaB- 
ten und die auf dem jeweiligen Identifikationsme- 
dium gespeicherten biometrischen Daten nicht 
tibereinstimmen, 

- Weitergeben der Personendaten an die Fahn- 
dungsdatenbank und Abfragen, ob der Systembe- 
nutzer auf einer Fahndungsliste steht, und 

- Offnen des Ausgangs der Durchgangsschleuse, 
wenn das Ergebnis der Fahndungsabfrage negativ 
1st, bzw Auslosen eine Alarmsignals, wenn das 
Ergebnis der Fahndungsabfrage positiv ist 

17 Verfahren nach Anspruch 16, dadurch gekenn- 
zeichnet, daB die Personendaten der Systembenutzer 
durch automatisches Einiesen erfaBt werden 
18. Verf ahren nach Anspruch 16 oder 17, dadurch ge- 
kennzeichnet, da/3 der Fingerabdruck und/oder die 
Nelzhautstruktur und/oder die Gesichtsmerkmale und/ 
oder die Stimme und/oder die Sprache ernes jeweiligen 
Systembenutzers erfaBt wird/werden 
19 Verfahren nach einem der Anspruche 16 bis 18, 
dadurch gekennzeichnet, daB die erfaBten biometri- 
schen Daten ver arbeitet und in einer oder mehrere re- 
pr asentative(s) Datenmer kmal(e) umgerechnet werden, 
anhand dessen/derer eine Wiedererkennung des Sy- 
stembenutzers bei der Kontrolle moglich ist 
20. Verfahren nach einem der Anspruche 16 bis 19, 
dadurch gekennzeichnet, daB die Personen- und/oder 
Identifikationsmediumdaten verschiusseit werden und 
ein identifikationsmediumspezifischer Schlussel er- 
zeugt wird. 

21 Verfahren nach einem der Anspriiche 16 bis 20, 
dadurch gekennzeichnet, daB die verschlusselten Daten 
in dem Identifikationsmedium elektrische personalis 
siert und/oder die Personendaten und gegebenenfalls 
ein Foto sowie Unterschriften des jeweiligen System- 
benutzers auf das Identifikationsmedium aufgebracht 
werden 

22 Verfahren nach einem der Anspruche 16 bis 21, 
dadurch gekennzeichnet, daB die Identifikationsmedien 
mit einer L aminatfolie ubcrzogen werden 

23. Verfahren nach einem der Anspruche 16 bis 22, 
dadurch gekennzeichnet, dal3 als Identifikationsme- 
dium Smart Cards verwendet werden. 

24 Verfahren nach einem der Anspriiche 16 bis 23, 
dadurch gekennzeichnet, daB die Durchgangsschleuse 
mittels einer Videokamera iiberwacht wird 

25 Verfahren nach einem der Anspruche 16 bis 24, 
dadurch gekennzeichnet, daB aus den verschlusselten 
Identifikationsmediumdaten ein identifikationsmedi- 
umspezifischer Schlussel berechnet und verifiziert 
wird. 

26 Verfahren nach einem der Anspriiche 16 bis 25, 
dadurch gekennzeichnet, daB die verschlusselten Per- 
sonendaten entschlusselt und verifiziert werden 
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